Posts Tagged ‘exploit’

Vulnerability in ASP.NET

donderdag, september 23rd, 2010

Na Linux is nu ook Windows aan de beurt. Er is deze week een “information disclosure vulnerability” in .net aan het licht gekomen. Het is belangrijk deze informatie door te spelen aan uw .NET developer.

De exploit zorgt ervoor dat een aanvaller files kan lezen op de server als web.config en data zoals de View State. Deze informatie kan vervolgens gebruikt worden om een hack uit te voeren waarbij de hacker de server daadwerkelijk binnenkomt.

Er is nog geen fix maar er zijn workarounds te vinden in Scott Guthrie’s blog en op Microsoft Security Advisory. Volg deze links ook voor meer informatie over de precieze aard van de deze vulnerability.

Tags: , , , , ,
Posted in VPS / Server Beheer | 1 Comment »

Fix voor Linux kernel exploit

dinsdag, september 21st, 2010

English below

Op de ‘Full Disclosure’ security-mailinglist is vorige week een exploit verschenen voor een veiligheidslek in 64-bits Linux kernels, gerelateerd aan de 32-bits emulatielaag. Deze exploit maakt het mogelijk om vanaf een account zonder privileges root-privileges te verkrijgen. Alle nu bekende 2.6 kernels, inclusief die geleverd zijn door XLS, hebben op dit moment dit probleem.

XLS kernel

Voor mensen die de XLS kernel gebruiken hebben we een patch uitgevoerd voor onze standaardkernels en deze voor onze klanten beschikbaar gemaakt. U kunt overstappen op de gepatchte, veilige, kernel door op een geschikt moment, maar liefst zo snel mogelijk, uw VPS een ‘halt’ te geven vanuit het root-account, waarna de VPS door ons fail-over systeem opnieuw wordt opgebracht met de nieuwe kernel. U kunt ook inloggen op de XLS interface en de VPS stoppen en daarna starten.

Eigen kernel of VPS mag niet down

Mensen die hun eigen kernel gebruiken moeten 32-bits support uitzetten. Er zijn namelijk nog geen officiele nieuwe kernelversies uitgebracht die dit probleem oplossen, waardoor ook de distro’s nog niet allemaal updates ter beschikking hebben kunnen stellen. Voor Debian, Ubuntu en CentOS zijn er inmiddels updates. Let op: op CentOS werkt ‘yum update’ niet zomaar. Neem contact met ons op hierover.

Door het onderstaande commando te geven kunt u tijdelijk support voor 32-bits binaries runtime (dus zonder shutdown/reboot) uitschakelen. Deze oplossing kan ook helpen voor klanten of die om operationele redenen niet onmiddellijk hun VPS down kunnen brengen.

echo ":32bits:M:0:x7fELFx01::/bin/logger:" > /proc/sys/fs/binfmt_misc/register

Fix for Linux kernel exploit

Last week someone posted an exploit to the ‘full disclosure’ mailinglist against the Linux 2.6 kernel, related to a bug in the 32 bits emulation layer. This is a privilege escalation bug that allows non-root users to gain root privileges. The issue affects all 2.6 kernels, including the kernels delivered by XLS.

XLS kernel

For people who use the XLS kernel we applied a patch to our stock kernels and made these available to our customers. You can change over to the patched kernel at a convenient time, although ideally as soon as possible, by issuing a ‘halt’ command from the root account. Our fail-over system will restart your VPS with the new kernel. You can also log in to the XLS interface to stop (and then restart) the VPS.

Custom kernel or critical uptime

People using a custom kernel will have to disable 32 bits support since there are no official new versions released yet by all distros (update: Debian, Ubuntu and CentOS have all released updated kernels). By issuing the following command you can temporarily disable 32 bits support in runtime (i.e., without shutdown/reboot):

echo ":32bits:M:0:x7fELFx01::/bin/logger:" > /proc/sys/fs/binfmt_misc/register

This is also a good temporary solution for people who cannot immediately shut down their VPS for operational reasons.

Tags: , , , ,
Posted in VPS / Server Beheer | 8 Comments »

Linux Kernel Security Lek

dinsdag, augustus 18th, 2009

Er is voor de tweede keer in korte tijd een veiligheidslek geconstateerd in de Linux kernel die te maken heeft met het volgen van zogenaamde NULL-pointers.

U zult uw VPS de komende dagen een halt moeten geven om de beschikking over een gepatchte kernel te krijgen. Donderdagavond vanaf 22:00 uur gaan wij alle machines een halt geven (en herstarten) die dit nog niet gedaan hebben. Als onze VPS klanten hebben hier ook een email over gekregen.

Alhoewel wij nog geen werkende exploit hebben gezien voor dit lek dat niet afhankelijk is van extra systeemcomponenten om root te verkrijgen, zijn er sterke indicaties dat dit ook zonder zulke software mogelijk moet zijn. Wij achten het risico daarom toch redelijk hoog.

We hebben voor al onze klanten een nieuwe kernel beschikbaar gemaakt. Om alle risico’s te vermijden raden wij mensen aan om op een geschikt moment hun Linux VPS een “shutdown -h” of “halt” te geven. Ons clusteringsysteem zal de uitgeschakelde virtuele machine zien, de nieuwe kernel er aan verbinden en de vps opnieuw opstarten.

Let op: Een reboot vanuit het control panel werkt niet, de vps uitzetten en als hij down is weer aanzetten via de XLS Interface werkt wel.

Als de machine niet onmiddellijk terugkomt, controleer dan met de System Console op de interface.xlshosting.com-site of de machine niet bezig is met een fsck (disk check). Machines die langer dan 180 dagen draaien zullen 15-30 minuten extra tijd nodig hebben om het filessyteem te checken.

Vanwege de potentiele ernst van het security-lek zullen wij in de nacht van donderdag op vrijdag de VPS-nodes die nog niet door klanten zelf naar de nieuwe kernel zijn geboot een reboot geven. Als dit voor uw server slecht uitkomt maar u voor die tijd ook geen kans om het te doen, neem dan contact op met onze helpdesk.

Voor de oplettende klanten: De nieuwe kernel identificeert zich als 2.6.18, waar de oude 2.6.20 heette. De nieuwe kernel is gebaseerd op die van RedHat Enterprise Linux en is, ondanks het lagere versienummer, voorzien van nieuwere patches en features.

Mensen die eigen kernels booten met behulp van pygrub zullen zelf moeten kijken of ze moeten upgraden. Ga er van uit dat alle kernels uit de 2.6-familie kwetsbaar zijn als ze langer dan 5 dagen geleden zijn uitgekomen.

Voor wat achtergrondinformatie over het exploiten van NULL-pointer dereferences, zie deze links:

http://lwn.net/Articles/342330/
http://blog.cr0.org/2009/06/bypassing-linux-null-pointer.html

Tags: , , ,
Posted in Algemeen, Netwerk | 1 Comment »

Linux Kernel Hack

vrijdag, juli 17th, 2009

Vandaag is een vrij creatieve exploit verschenen voor een securityprobleem dat onstaan is in de Linux kernel, versie 2.6.30.

Onze virtuele server clusters gebruiken een andere versie en eerdere versies en distro-kernels zijn hier niet kwetsbaar voor. Klanten met colocated machines of een VPS met custom kernel raden wij wel aan de versie te controleren.

Tags: , , , ,
Posted in VPS / Server Beheer | 1 Comment »